本公开涉及一种基于多层次信息融合的威胁分析方法及装置,该方法包括:获取与目标网络实体对应的行为数据集合;将行为数据集合与预设的资源数据进行标签融合,得到数据综合信息表;根据层次分析法,分别从多个维度对数据综合信息表进行分析,得到各维度对应的原子刻画数据结果;将不同的维度对应的原子刻画数据结果进行组合,得到多种数据组合结果;对各数据组合结果进行可疑行为分析,得到各数据组合结果对应的初始威胁得分值;根据多个数据组合结果对应的初始威胁得分值得到目标网络实体的威胁总分。本公开能够提升威胁分析的效率和准确性。准确性。准确性。
【技术实现步骤摘要】
一种基于多层次信息融合的威胁分析方法及装置
[0001]本公开涉及计算机
,尤其涉及一种基于多层次信息融合的威胁分析方法及装置。
技术介绍
[0002]近年来,随着网络对抗形势的加剧,高级持续性威胁事件(Advanced Persistent Threat,APT)的网络攻击愈发严重,威胁到国家安全、人民生产生活安全和社会稳定,给国家、社会带来了严重的影响。同时,由于网络监测数据资源的限制和APT攻击的隐蔽性,针对APT攻击的分析难度加大,给高级威胁安全事件监测分析以及安全人员能力提出了更高的要求。
[0003]目前在进行面向高级威胁事件的分析过程中,分析效率低且分析结果的准确性较差。
技术实现思路
[0004]为了解决上述技术问题,本公开提供了一种基于多层次信息融合的威胁分析方法及装置。
[0005]本公开提供了一种基于多层次信息融合的威胁分析方法,包括:
[0006]获取与目标网络实体对应的行为数据集合;
[0007]将所述行为数据集合与预设的资源数据进行标签融合,得到数据综合信息表;
[0008]根据层次分析法,分别从多个维度对所述数据综合信息表进行分析,得到各所述维度对应的原子刻画数据结果;
[0009]将不同的所述维度对应的原子刻画数据结果进行组合,得到多种数据组合结果;
[0010]对各所述数据组合结果进行可疑行为分析,得到各所述数据组合结果对应的初始威胁得分值;
[0011]根据多个数据组合结果对应的初始威胁得分值得到所述目标网络实体的威胁总分。
[0012]可选的,所述获取与目标网络实体对应的行为数据集合,包括:
[0013]获取网络通信数据;所述网络通信数据为不同网络实体之间的通信行为描述;
[0014]基于所述网络实体对所述网络通信数据进行分组,得到多个对象组合,所述对象组合包括发生通信行为的两端所述网络实体;
[0015]从所述网络通信数据中提取各所述对象组合对应的行为数据集合;
[0016]从所述对象组合中确定目标网络实体,并将所述目标网络实体与所述行为数据集合进行对应。
[0017]可选的,所述分别从多个维度对所述数据综合信息表进行分析,包括:
[0018]获取多个原子刻画模型;其中,每个所述原子刻画模型对应至少一个所述维度;
[0019]将所述数据综合信息表分别输入至各所述原子刻画模型;
[0020]通过所述原子刻画模型根据对应的所述维度对所述数据综合信息表进行分析。
[0021]可选的,所述对各所述数据组合结果进行可疑行为分析,包括:
[0022]构建多种综合威胁分析模型;
[0023]将各所述数据组合结果一一输入至各所述综合威胁分析模型;
[0024]通过所述综合威胁分析模型对所述数据组合结果进行可疑行为分析。
[0025]可选的,所述构建多种综合威胁分析模型,包括以下至少一项:
[0026]根据预设的异常通联行为构建所述综合威胁分析模型;
[0027]提取威胁情报中的陷落标识IOC指标,根据所述IOC指标构建所述综合威胁分析模型;
[0028]根据预设的关键端口构建所述综合威胁分析模型;
[0029]根据预设的规则场景构建所述综合威胁分析模型。
[0030]可选的,所述方法还包括:
[0031]当所述威胁总分大于预设得分阈值时,生成告警事件。
[0032]可选的,所述方法还包括:
[0033]根据所述威胁总分和预设的参考因素对所述告警事件进行排序;其中,所述参考因素包括:行业类型、项目安全等级。
[0034]可选的,所述资源数据包括:威胁情报、域名查询协议WHOIS、IP画像、知识库数据和组织画像数据。
[0035]可选的,所述维度包括:对端IP、对端域名、通信时间、组织编号、对端地理位置属性、对端IP端口数据、高于指定排名的对端域名、IP备案信息、对应的威胁情报标签和威胁情报IOC聚合。
[0036]本公开还提供了一种基于多层次信息融合的威胁分析装置,包括:
[0037]数据获取模块,用于获取与目标网络实体对应的行为数据集合;
[0038]数据融合模块,用于将所述行为数据集合与预设的资源数据进行标签融合,得到数据综合信息表;
[0039]第一分析模块,用于根据层次分析法,分别从多个维度对所述数据综合信息表进行分析,得到各所述维度对应的原子刻画数据结果;
[0040]数据组合模块,用于将不同的所述维度对应的原子刻画数据结果进行组合,得到多种数据组合结果;
[0041]第二分析模块,用于对各所述数据组合结果进行可疑行为分析,得到各所述数据组合结果对应的初始威胁得分值;
[0042]威胁确定模块,用于根据多个数据组合结果对应的初始威胁得分值得到所述目标网络实体的威胁总分。
[0043]本公开实施例提供的技术方案与现有技术相比具有如下优点:
[0044]本实施例提供的基于多层次信息融合的威胁分析方法及装置,包括:获取与目标网络实体对应的行为数据集合;将行为数据集合与预设的资源数据进行标签融合,得到数据综合信息表;根据层次分析法,分别从多个维度对数据综合信息表进行分析,得到各维度对应的原子刻画数据结果;将不同的维度对应的原子刻画数据结果进行组合,得到多种数据组合结果;对各数据组合结果进行可疑行为分析,得到各数据组合结果对应的初始威胁
得分值;根据多个数据组合结果对应的初始威胁得分值得到目标网络实体的威胁总分。
[0045]本技术方案在数据处理过程中,将行为数据集合与资源数据进行标签融合;在威胁分析过程中,一方面从多个维度对数据综合信息表进行分析,实现多维度的数据分析处理,另一方面将不同的维度对应的原子刻画数据结果进行组合,并对组合结果进行分析,能够利用信息融合的原子刻画数据结果进行综合分析,能够从整体视角进行融合分析,降低研判难度,改善数据融合的问题,实现原子刻画数据结果的数据共享,提高了共性数据的复用度,进而提升了威胁分析的效率和准确性。
附图说明
[0046]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
[0047]为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0048]图1为本公开实施例所述基于多层次信息融合的威胁分析方法流程图;
[0049]图2为本公开实施例所述网络实体图谱的示意图;
[0050]图3为本公开实施例所述应用架构的示意图;
[0051]图4为本公开实施例所述威胁分析模块的示意图;
[0052]图5为本公开实施例所述基于多层次信息融合的威胁分析本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多层次信息融合的威胁分析方法,其特征在于,包括:获取与目标网络实体对应的行为数据集合;将所述行为数据集合与预设的资源数据进行标签融合,得到数据综合信息表;根据层次分析法,分别从多个维度对所述数据综合信息表进行分析,得到各所述维度对应的原子刻画数据结果;将不同的所述维度对应的原子刻画数据结果进行组合,得到多种数据组合结果;对各所述数据组合结果进行可疑行为分析,得到各所述数据组合结果对应的初始威胁得分值;根据多个数据组合结果对应的初始威胁得分值得到所述目标网络实体的威胁总分。2.根据权利要求1所述的方法,其特征在于,所述获取与目标网络实体对应的行为数据集合,包括:获取网络通信数据;所述网络通信数据为不同网络实体之间的通信行为描述;基于所述网络实体对所述网络通信数据进行分组,得到多个对象组合,所述对象组合包括发生通信行为的两端所述网络实体;从所述网络通信数据中提取各所述对象组合对应的行为数据集合;从所述对象组合中确定目标网络实体,并将所述目标网络实体与所述行为数据集合进行对应。3.根据权利要求1所述的方法,其特征在于,所述分别从多个维度对所述数据综合信息表进行分析,包括:获取多个原子刻画模型;其中,每个所述原子刻画模型对应至少一个所述维度;将所述数据综合信息表分别输入至各所述原子刻画模型;通过所述原子刻画模型根据对应的所述维度对所述数据综合信息表进行分析。4.根据权利要求1所述的方法,其特征在于,所述对各所述数据组合结果进行可疑行为分析,包括:构建多种综合威胁分析模型;将各所述数据组合结果一一输入至各所述综合威胁分析模型;通过所述综合威胁分析模型对所述数据组合结果进行可疑行为分析。5.根据权利要求4所述的方法,其特征在于,所述构建多种综合威胁分...
【专利技术属性】
技术研发人员:鲍青波,秦纪伟,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。